CrowdStrike bekerja sama dengan Google dan lembaga keamanan internet Shadowserver, menghancurkan jaringan zombie yang secara khusus menargetkan pengembang perangkat lunak sumber terbuka. Jaringan ini selama dua tahun terakhir terus-menerus memanfaatkan akun pengembang dan saluran distribusi kode untuk menyebarkan program jahat dan mencuri kata sandi.
Melakukan serangan berkelanjutan terhadap pengembang selama dua tahun
Operasi ini menargetkan jaringan serangan bernama Glassworm. CrowdStrike menyatakan bahwa serangan semacam ini tidak lagi hanya fokus pada produk perangkat lunak, tetapi langsung menargetkan pengembang yang menulis dan memelihara kode, karena kegagalan satu perangkat pengembang dapat menyebar ke sejumlah besar pengguna dan institusi di hilir melalui rantai pasokan.
More than 300 GitHub repositories are contaminated
Menurut CrowdStrike, penyerang terutama menyebarkan kode berbahaya melalui tiga cara, termasuk mempublikasikan plugin jahat di pasar ekstensi yang digunakan oleh pengembang, membeli iklan pencarian untuk mendorong unduhan, serta menggunakan kredensial yang sebelumnya dicuri untuk mengambil alih akun pengembang.
- Ekstensi jahat disebar di pasar pengembang
- Iklan pencarian digunakan untuk mendorong unduhan trojan
- Akun yang dicuri digunakan untuk menanamkan kode berbahaya
Setelah mengambil kendali akun, penyerang menulis kode jahat ke dalam repositori proyek. CrowdStrike menyatakan bahwa akhirnya lebih dari 300 repositori GitHub terkontaminasi.
Channel control melibatkan layanan seperti Solana
CrowdStrike menyatakan telah memutuskan empat saluran komando dan kendali yang digunakan Glassworm, melemahkan kemampuan penyerang untuk mengakses perangkat yang terinfeksi serta mencegah penyebaran lebih banyak program berbahaya.
Laporan tersebut menyatakan bahwa infrastruktur kendali ini bergantung pada beberapa saluran, termasuk blockchain Solana, jaringan peer-to-peer BitTorrent, Google Calendar, serta virtual private server. Namun, laporan tersebut tidak menjelaskan otorisasi hukum atau metode teknis spesifik yang digunakan dalam operasi ini.
Serangan serupa baru-baru ini terus muncul
Beberapa bulan terakhir, serangan rantai pasokan terhadap proyek dan pengembang open source terus meningkat. TechCrunch menyebutkan, minggu lalu serangan lain bernama Mini Shai-Hulud menyerang beberapa proyek open source dan mendorong pembaruan berbahaya, di mana salah satu pengembang OpenAI juga terdampak.
Informasi tambahan: Laporan tersebut juga menyebutkan bahwa pada Maret tahun ini terjadi insiden serangan rantai pasokan lainnya, di mana peretas yang berada di baliknya diduga terkait dengan Korea Utara, menunjukkan bahwa akun pengembang dan saluran distribusi open source kini menjadi target utama serangan.